Por indicação da Senhora Presidente, procedeu-se a este primeiro, e breve, estudo jurídico sobre o aliciante, complexo e actual tema da protecção jurídica dos dados pessoais.
Neste trabalho introdutório procura-se:
A) indagar do actual estado jurídico· relativo ao tema, sem esquecer o contexto mais amplo em que se ancora, ou seja o da protecção jurídica da privacidade; e, por outro lado,
B) descortinar medidas possíveis de concretizar, nomeadamente legislativas, com vista ao reforço do painel de garantias deste direito fundamental, no que toca à protecção dos dados pessoais.
Este tema é pertinente, actual e intimamente ligado com o advento de novas tecnologias, nomeadamente ao nível informático, embora não se esgote no armazenamento e tratamento informático dos dados pessoais. Por exemplo, pode uma entidade empregadora utilizar os dados recebidos por interessados a propósito de processos de recrutamento? E que utilização pode ser feita desses dados? Ou então pode uma entidade pública facultar os dados pessoais de determinado indivíduo a outra entidade pública? E em que termos?
Estas são apenas algumas questões
apresentadas a título exemplificativo que poderão ser melhor respondidas com a
aprovação de nova legislação,
Tal
N esta conformidade, este estudo trilhará primeiro os caminhos da privacidade em geral e sua tutela. É o que se fará de seguida.
De imediato se proclama que se está perante um direito fundamental complexo, sob diversos ângulos, e relativamente jovem, tendo sido já apelidado de direito fundamental do novo milénio
É um direito complexo e não tradicional, comportando várias vertentes - as mais das vezes novas e surgidas á luz das novas tecnologias - que, por essa razão, não se pode ver reconduzido à clássica análise que se faz, por exemplo, a propósito do direito de reunião e de manifestação ou do direito de associação para citar apenas dois casos de direitos fundamentais clássicos.
Colocado este alerta preliminar é tempo de avançar, começando, precisamente, pelo tecido jurídico-normativo vigente.
Em primeiro lugar cabe relembrar aqui
que, nos termos do artigo 30.º da Lei Básica «Aos residentes de
Todavia, o espectro constitucional de
protecção, em diferentes níveis, da privacidade não se esgota neste
preceito. Na verdade, também o artigo 32.º do mesmo diploma, entre outros,
fornece garantias: «A liberdade e o sigilo dos meios de comunicação dos
residentes de
Também a Declaração Conjunta não olvidou a questão – ou parte dela -tendo estabelecido, no ponto V, do seu Anexo I, o direito à inviolabilidade do domicílio e das comunicações.
Ainda em sede de direito internacional merece referência o PIDCP, o qual estatui, no seu artigo 17.º o princípio da proibição de invasão ilegal e arbitrária da privacidade:
«1. Ninguém será objecto de intervenções arbitrárias ou ilegais na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem de atentados ilegais á sua honra e à sua reputação.
2. Toda e qualquer pessoa tem direito à protecção da lei contra tais intervenções ou tais atentados.».
Ao nível da legislação ordinária o sistema jurídico local contém diversas disposições sobre o tema, em várias vertentes.
Desde logo é mister recordar, pela sua inelutável posição emblemática, o Código Civil.
Na verdade, esta trave mestra do sistema jurídico local, estatuiu em boa hora um conjunto de preceitos relativos a direitos fundamentais pessoais, ou, em terminologia juscivilística, direitos de personalidade.
N o caso vertente vale a pena, por razões e comodidade de referência, reproduzir alguns dos seus normativos:
1. Todos devem guardar reserva quanto à intimidade da vida privada de outrem.
2. A extensão da reserva é definida conforme a natureza do caso e a condição das pessoas; designadamente, a reserva será delimitada pelo âmbito que, por seus próprios actos, a pessoa mantenha reservado e, para as figuras públicas, pela relação existente entre os factos e o motivo da notoriedade.»
Mais estabelece este nobre código, e com particular relevo para o tema que ora nos ocupa:
1. Toda a pessoa tem direito a tomar conhecimento dos dados constantes de ficheiros ou registos informáticos a seu respeito e do fim a que se destinam, podendo exigir a sua rectificação ou actualização, salvo o disposto em normas especiais sobre segredo de justiça.
2. A recolha de dados pessoais para tratamento informático deve ser feita com vinculação estrita às final idades a que se destinam esses dados, as quais devem ser dadas a conhecer ao seu titular.
3. O acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão carecem de autorização, para cada caso, da autoridade pública encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais informatizados.»
Vários outros preceitos deste diploma se relacionam com vertentes da protecção da privacidade, nomeadamente os artigos 75.º (Missivas confidenciais), 76.º (Memórias familiares e outros escritos confidenciais).
A Assembleia Legislativa já se pronunciou, em forma de lei, sobre o tema merecendo realce, neste contexto, a Lei n.º 16/92/M, de 28 de Setembro, intitulada Sigilo das Comunicações e Reserva da Intimidade Privada.
Esta lei constituiu, sem favor, um marco na produção legislativa atinente ao tema em questão.
A sua origem funda-se em dois articulados apresentados à Assembleia Legislativa, um projecto e uma proposta de lei formalmente distintos tendo, a final, resultado a sua fusão. O articulado então aprovado – que aqui se não reproduz – prolongava-se por mais de 20 artigos e tratava de, entre outros, o dever de sigilo, devassa da vida privada, nomeadamente por meio de informática e, bem assim, de normas criminais.
Todavia, o destino desta lei não foi o mais feliz porquanto foi retalhada sucessivamente com a entrada em vigor do Código Penal e, posteriormente, do Código de Processo Penal.
Com efeito, em vigor não restam hoje mais do que meia dúzia de preceitos desta lei, nomeadamente os quatro primeiros. Ou seja, actualmente, é uma verdadeira manta de retalhos que de eficácia pouco se encontra.
Para além destas revogações retalhantes, operadas concretamente pelos Decreto-Lei n.º 58/95/M, de 14 de Novembro, que aprova o Código Penal e Decreto- Lei n.º 48/96/M, de 2 de Setembro, que aprova o Código de Processo Penal.
Cumpre, no entanto, informar que a tais revogações não sucedeu, necessariamente, a substituição das normas revogadas por outras novas insertas em tais códigos. Ou seja, normas há - por exemplo a do artigo 21.º – que foram simplesmente expurgadas do mundo jurídico vigente em Macau, sem que se perceba o porquê dessa opção.
Neste quadro, fácil se torna concluir pela inoperância, nomeadamente preventiva, da lei em questão.
A protecção jurídica da privacidade no ordenamento jurídico local não se esgota, no entanto, por aqui.
Na verdade, ao nível da tutela penal registe-se o Código Penal que, entre outros normativos de relevo, dedica um capítulo aos «Crimes contra a reserva da vida privada», artigos 184.º a 193.º, para os quais se remete na integralidade, pela sua importância.
Para além destes dispositivos, encontramos um conjunto de outros preceitos penais avulsos que tutelam penalmente a privacidade, nomeadamente pela via da criminalização da violação de segredo ou aproveitamento indevido de funções, por exemplo na Lei n.º 3/98/M, de 29 de Junho, Declaração e Controlo Público de Rendimentos e Interesses Patrimoniais, artigos 22.º e 23.º.
Vários outros diplomas dedicam normas com incidência na protecção da privacidade, sendo fastidioso e não muito fácil, fazer o elenco total.
A título meramente exemplificativo pode-se mencionar, sem qualquer ordem de relevo:
a) A Lei de Bases de Política Familiar - artigo 6.º sobre privacidade da vida familiar;
b) A Lei da Liberdade Religiosa - artigo 6.º sobre reserva pessoal das convicções religiosas;
c) O Código do Procedimento Administrativo - vg o n.º 3 do artigo 67.º(Princípio da administração aberta);
d) A Resolução n. °3/2000, Processo de Interpelação Sobre a Acção Governativa - n.º 2 do artigo 2.º;
e) A Resolução n.o 4/2000, Regulamento das Audições, - n.º 2 do artigo 2.º;
Uma primeira conclusão parcelar deve ser agora apresentada: o ordenamento jurídico de Macau consagra o princípio da protecção jurídica da privacidade, desde logo no seu patamar mais elevado, ou seja, na Lei Básica. Várias normas adicionam garantias a diversas vertentes desse princípio, todavia permanece uma lacuna de relevo, qual seja a do «tratamento dos dados pessoais».
Uma primeira constatação a fazer é a seguinte: inexiste em Macau qualquer lei, de vocação geral, que, de uma forma integrada, tutele a protecção dos dados pessoais, contrariamente à tendência que se verifica em outros sistemas jurídicos, nomeadamente da Ásia, Europa e América, como adiante se verificará.
Inexiste, do mesmo modo, uma instituição que centralize e se responsabilize por essa tutela. Também aqui diferentemente do que sucede noutros sistemas jurídicos.
Com efeito, para além de algumas normas esparsas surgidas a propósito de matérias específicas, por exemplo ao nível do estatuto jurídico do Bilhete de Identidade de Residente, da Declaração e Controlo Público de Rendimentos e Interesses Patrimoniais ou do regime jurídico do Registo Criminal, não há, como supra se mencionou, um regime jurídico geral, nem existe um entidade, por norma independente, que cuide destas sensíveis questões transversalmente.
Uma leitura breve daqueles diplomas, e de outros mais, permite concluir que há uma diversidade de regimes e, bem assim, diferenciação ao nível do grau de protecção dos dados pessoais.
Por outro lado, sendo diferentes os regimes e sendo também diferentes as entidades responsáveis pela manutenção dos dados, curial é concluir que, igualmente os critérios de abertura/confidencialidade, entre outros, diferentes sejam.
Ora, salvo melhor opinião, esta não é, com certeza, uma situação desejável para o nosso sistema jurídico, podendo gerar equívocos e, quiçá, sentimentos de perda de confiança nas instituições envolvidas.
Importa, todavia, aprofundar o tema recorrendo a alguns exemplos concretos de regimes vigentes na matéria.
Um exemplo importante é-nos fornecido pelo Decreto-Lei n.º 12/98/M, de 6 de Abril, o qual procede ao desenvolvimento do regime jurídico estabelecido pela Lei n.º 2/96/M, de 3 de Junho que regula a Dádiva, a Colheita, e a Transplantação de Órgãos e Tecidos de Origem Humana.
Aí se prescrevem diversas normas de «blindagem» do registo informático então criado - o que bem se compreende atendendo ao melindre dos dados aí constantes - nomeadamente ao nível da finalidade desse registo, o direito à informação, princípio da confidencialidade, segurança da informação, entre outros mais.
No entanto, e não obstante esta área se tratar, sem dúvidas, de uma das que mais tutela merece, pelo objecto do registo, este diploma estabelece, no seu artigo 14.°, sob epígrafe Regime especial, o seguinte:
«O disposto no presente diploma não prejudica regime mais restritivo, eventualmente estabelecido em legislação sobre protecção de dados pessoais informatizados.».
Ora, como se pode perceber, deste preceito ressaltam dois aspectos: um primeiro que considera que o regime estabelecido funcionará como que um patamar mínimo de protecção: um segundo, o de que pressupõe como normal uma existência futura de legislação sobre protecção de dados pessoais.
Importa repegar num preceito já antes citado e que se acha sediado no Código Civil, mais precisamente no seu artigo 79.°:
3. O acesso a ficheiros e registos informáticos para conhecimento de dados pessoais relativos a terceiros e respectiva interconexão carecem de autorização, para cada caso, da autoridade pública encarregada de fiscalizar a recolha, armazenamento e utilização dos dados pessoais informatizados.»
Afigura-se que, tal como sublinhado, havia uma intenção legislativa que apontava para a criação de uma entidade pública que procedesse à fiscalização, nos seus vários aspectos, dos dados pessoais informatizados.
À guisa de sugestão antecipatória afirma-se que nos parece desejável que se proceda a um estudo que pondere a criação de uma lei que estabeleça um regime jurídico geral sobre protecção de dados pessoais e que crie uma entidade independente que tutele essa protecção.
Aqui chegados afigura-se útil empreender uma breve viagem pelos domínios do direito comparado e pelos ensinamentos que daí advêm, nomeadamente retirando pontos de referência e hipóteses de solução para algumas das questões mais complexas.
É o que adiante se fará, alertando que o presente estudo constitui apenas um primeiro passo, quase ensaístico sobre o tema, pelo que, os dados disponíveis no momento não ultrapassam uma dúzia de ordenamentos jurídicos e, por outro lado, iremos limitar esta parte quase somente a uma apresentação de legislação vigente noutros sistemas jurídicos.
A atenção dispensada a esta protecção de dados pessoais noutras latitudes jurídicas é, pode afirmar-se sem receio, imensa.
N a verdade, quer ao nível legislativo, quer ao nível de promoção e divulgação das garantias junto dos cidadãos quer, ainda, ao nível do debate científico, estamos perante uma potencial fonte inesgotável de ensinamentos e exemplos.
Quer em paragens longínquas como a União Europeia ou os Estados Unidos da América, quer em vizinhos bem próximos como Hong Kong, encontramos leis específicas, entidades especializadas e programas de divulgação das garantias – quem não se recorda de, nas estações televisivas de Hong Kong, assistir a variados spots sobre o tema?
Avancemos, então, nesta nossa viagem.
Uma primeira nota para referenciar a Convenção n.º 108 do Conselho da Europa, de 28 de Janeiro de 1981, sobre Protecção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal.
Ao nível da União Europeia temos a directiva comunitária sobre a matéria, concretamente a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Desta Directiva decorreu, naturalmente, a aprovação de leis nacionais que operaram a sua transposição para o direito interno dos vários Estados membros.
Realce para a obrigação imposta aos Estados membros de assegurarem a existência de uma autoridade independente que garanta o controlo da protecção de dados.
A nível europeu podemos apresentar os seguintes exemplos:
Portugal: Lei n.º 67/98, de 26 de Outubro, que trata de uma forma global a questão da protecção dos dados pessoais, estabelecendo um elenco de princípios e de medidas especiais de segurança.
Aplica-se a entidades públicas e a pessoas privadas.
Estabelece a criação de uma entidade independente que controla e fiscaliza o cumprimento das normas jurídicas em vigor, entre outras atribuições. É a Comissão Nacional de Protecção de Dados e funciona junto da Assembleia da República.
A esta lei acresce um conjunto de outros instrumentos jurídicos de carácter regulamentar.
Finlândia: Personal Data Act, 523/1999,
com alterações subsequentes (exemplar gentilmente fornecido pelo Cônsul Geral
da Finlândia
Consagra um conjunto de princípios similares ao exemplo anterior ao longo de cerca de 50 artigos.
Prevê a existência de um Ombudsman para a protecção de dados pessoais e de uma Comissão.
Áustria: Acta Federal de Protecção de
Dados) de
Lei consagradora de vários princípios, parecida com as anteriores e que preconiza a criação de entidades independentes, a Comissão de Protecção de Dados Pessoais, que funciona junto do Chefe de Estado, o Conselho e um Registo próprio.
Alemanha: Federal Data Protection Act, de 20 de Dezembro de 1990, com várias alterações subsequentes.
É uma lei com muitos pontos de contacto com as anteriores e que consagra um catálogo de garantias dos dados pessoais. O seu âmbito de aplicação estende-se a entidades públicas e privadas.
Prevê uma entidade independente, o Comissário Federal para a Protecção de Dados, eleito pelo Parlamento.
Vários outros países europeus, que não apenas os membros da União Europeia, dispõem de leis similares, com soluções muito próximas - por influência das citadas convenção europeia e directiva - nomeadamente o Reino Unido, a Holanda, a Suécia e a Suíça.
É mister avançar para outras paragens.
Nos Estados Unidos, principais percursores do tratamento deste tema, encontramos o Privacy Act, de 1974; em Israel, o Protection of Privacy Law, de 1981, com alterações subsequentes; na Nova Zelândia, Privacy Act, de 1993 e existência de um Office of the Privacy Commissioner.
Por último mas não menos importante, dedicaremos a nossa atenção ao panorama asiático.
Na Tailândia existe uma Lei denominada lnformation Accesss and Privacy Protection, Act of E.E. 2540, de 1997.
Estabelece a criação de uma Official Information Comission, com poderes de supervisão e aconselhamento.
No Japão vigora The Act for Protection of Computer Processed Personal Data held By Administrative Organs, de Dezembro de 1988. Como se pode verificar pela sua designação, o seu escopo de aplicação é limitado a entidades públicas e a dados armazenados em computador.
Está estabelecida uma autoridade, a Management and Coordination Agency, com competências várias sobre a matéria, embora não seja claro que se trate de uma autoridade verdadeiramente independente, no sentido de deter poderes de supervisão e controlo.
Em Taiwan, encontramos a Law Governing the Protection of Personal Data Processed by Computers, de Julho de 1995. O âmbito de aplicação desta lei abrange quer privados quer entidades públicas.
Em Taiwan a entidade responsável é o Ministro da Justiça, o que não configura o princípio de existência de entidade independente com poderes de controlo e supervisão.
Finalmente, chegamos ao nosso vizinho próximo, ou seja a Região Administrativa Especial de Hong Kong.
É uma lei muito completa, dotada de vários mecanismos de garantia e onde se estabelece uma verdadeira entidade independente: o Office of the Privacy Commissioner for Personal Data, dotado de amplos poderes.
O sistema jurídico vizinho, nesta matéria, pode constituir um bom exemplo, quer no plano estritamente jurídico, quer a outros níveis.
Com efeito, para além das soluções jurídicas, impressiona o modo como, no terreno, no plano dos factos, se actua em prol da protecção dos dados pessoais, divulgando direitos, actuando em diversas frentes, fazendo sugestões.
Este nosso percurso pelo direito comparado termina por aqui, importando salientar algumas notas:
- A preocupação pela protecção dos dados pessoais, traduzida em leis gerais, manifesta-se em vários ordenamentos jurídicos, de origem geográfica e matriz bem distintos.
- Em número significativo dos casos apresentados verifica-se a existência de uma entidade independente com poderes de controlo e supervisão.
Porque importantes, sob diversas perspectivas, junta-se em anexo ao presente memorando:
a) Lei de Hong Kong, antes identificada;
b) Lei de Portugal, anteriormente identificada, e demais legislação regulamentar;
c) Cópia de um relatório apresentado
ao Legco pela entidade responsável
Ainda antes de apresentarmos as conclusões é mister deixar aquI sublinhada a importância da divulgação das garantias do direito fundamental de que nos ocupamos junto da população.
Para isso será necessário um esforço de divulgação e promoção dos direitos das pessoas utilizando várias vias, mormente através do inestimável apoio e sensibilização da comunicação social.
Por outro lado, é igualmente importante – sobretudo atendendo à constante evolução verificada nesta matéria – o acompanhamento científico, nomeadamente participando em seminários e conferências que abundam, desde Hong Kong, que regularmente organiza eventos (quer em língua chinesa, quer em língua inglesa) à Europa ou outros países asiáticos.
Exemplificando, só até ao final do ano temos conhecimento da realização de três eventos.
Fechado o estudo, importa apresentar conclusões, algumas em forma. de sugestões de trabalho futuro:
A) A privacidade é um direito fundamental.
B) Assim estabelecido na Lei Básica.
C) É um bem tutelado a nível jusinternacional.
D) Também no plano da legislação de Macau, mormente no Código Civil e no Código Penal.
E) O princípio da protecção de Dados Pessoais ancora-se naquele direito fundamental.
F) Inexiste em Macau qualquer lei, de vocação geral, que, de uma forma integrada, tutele a protecção dos dados pessoais.
G) contrariamente à tendência que se verifica em outros sistemas jurídicos.
H) Inexiste, do mesmo modo, uma instituição que centralize e se responsabilize por essa tutela.
I) Também aqui diferentemente do que sucede noutros sistemas jurídicos.
J) Afigura-se ser desejável a elaboração de uma lei de vocação genérica de protecção de dados pessoais.
L) Sugere-se a elaboração de estudos mais desenvolvidos.
M) Preconiza-se a auscultação de entidades com relevo para o assunto.
N) E a divulgação ampla deste e de posteriores estudos.
Macau, aos 18 de Novembro de 2002.
o assessor
Paulo Cardinal